«Национальный мессенджер» Max раз в несколько минут подключается к камере и делает фото, следит за экраном, собирает геолокацию — это короткий набор вещей, в которых пользователи подозревали новое госприложение. Но полноценно реальное поведение сервиса на устройстве никто не исследовал. Теперь команда экспертов в области свободы интернета RKS Global протестировала Max, чтобы выяснить, как ведет себя приложение на разных устройствах — и насколько опасно устанавливать его на свое устройство. А мы изучили результаты тестов.

Как исследовали

Приложение тестировали на смартфонах iPhone и Google Pixel. Телефоны были сброшены до заводских настроек и потом обновлены до новейших версий ОС. Max загружали из AppStore и Google Play. Задачей было проверить, когда и какие разрешения запрашиваются приложением, как оно ими пользуется, делает ли что-то без разрешения и как связывается со своими серверами.

Тесты шли в течение двух суток. Сначала на обоих устройствах приложению был разрешен доступ ко всему, что оно запрашивало (камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео). В это время эксперты наблюдали за тем, что происходит на смартфоне, и фиксировали аномалии. Через два дня все разрешения были отозваны — и эксперты смотрели, будет ли Max запрашивать их снова и при каких условиях.

• Во время тестирования на Android использовался мониторинг по названию приложения (ru.oneme.app) или ID, мониторинг активности приложения через adb, штатные средства Android (Панель управления разрешениями), журнал с ошибками adb bugreport.
• Для iPhone проведен анализ файла sysdiagnose с логами приложений и системы с помощью iLEAPP, мониторинг активности приложения через штатные средства iPhone (Отчет о конфиденциальности приложений).
• Мониторинг трафика с обоих устройств происходил с помощью PiRouge.
• Приложение тестировалось с российскими IP-адресом, геолокацией и номером телефона. А также с IP-адресом и геолокацией вне России.

Что в итоге

Ни в одной из конфигураций не было выявлено неправомерного доступа к камере, местоположению, микрофону, уведомлениям, контактам, фото и видео. Технически у приложения была возможность собирать эти данные и отправлять их — но эксперты не зафиксировали, что такое происходило.

После отзыва разрешений у приложения не было обнаружено попыток получить эти доступы снова через запросы или несанкционированно. То есть прямо сейчас Max слежку по умолчанию не ведет.

Но есть вероятность, что у пользователей в разных локациях приложение может вести себя по-разному. Также есть шанс, что в будущем приложение может начать делать запросы на доступы или же несанкционированно вторгаться в пользовательское устройство.

Еще следует помнить, что любые приложения и сайты получают IP-адреса, которые косвенно могут указывать на геолокацию. То есть любые российские приложения, включая Max, могут фиксировать, где приблизительно находится пользователь. А силовики могут получить эту информацию с помощью СОРМ.

В RKS Global напоминают, что через мессенджер Max все же не стоит вести конфиденциальную переписку и пересылать чувствительные документы — у приложения все же остается большой потенциал к слежке, так как вся информация и все переписки могут быть доступны госорганам в реальном времени. И в любой момент поведение мессенджера может измениться.

Что мне с этого?

Прямо сейчас Max не ведет скрытую слежку за камерой, микрофоном и геолокацией — но техническая возможность делать это в будущем у приложения есть. Какие безопасные альтернативы Max остались в России после блокировки звонков в Telegram и WhatsApp, мы рассказывали здесь.